$215K Вкрадено з Fluid: Зловмисник контролює обидва ключі в системі нагород Меркл

Втрата рідини $215K після того, як один з атакуючих контролював обидва ключі розподілу нагород, витягуючи токени через фальшиві корені Merkle та маршрутизуючи доходи до Tornado Cash.

Токени нагород вже були втрачені. 27 травня зловмисник, який володів обома операційними ключами підпису Fluid, надіслав фальшивий список нагород до мережевих розподілювачів Merkle протоколу на Ethereum, Base та Arbitrum.

Fluid, протокол DeFi на базі Ethereum, використовує двоступеневу систему для розподілу нагород: один ключ пропонує корінь Merkle, а другий його затверджує. Як повідомив BlackHartInc у X, обидві ролі були виконані однією особою. Контроль двох осіб нічого не означав, коли одна особа володіла обома ключами.

Одна особа, два ключі, нульовий опір

Ключ пропонувальника подав корінь, що служить особистим інтересам, до розподілювача FLUID о 21:11:11 за UTC. Через дванадцять секунд той самий зловмисник затвердив його, використовуючи ключ затверджувача. Через двадцять чотири секунди після початкової пропозиції, заявка пройшла з порожнім доказом Merkle.

Цей порожній доказ не був помилкою. Список нагород з однією записом дає корінь, рівний єдиному листу, тому шлях доказу не потрібен. Контракт перевірив його правильно. У смарт-контракті нічого не зламалося. За аналізом BlackHart, вся несправність була у володінні операційними ключами.

Той самий цикл пропозиція-затвердження-заява потім повторився проти розподілювача GHO о 21:13:59 за UTC і третього розподілювача для невеликої суми cbBTC кілька годин потому. На трьох ланцюгах зловмисник забрав приблизно 125 109 FLUID і 51 946 GHO, а також сліди cbBTC.

Що фактично залишило протокол і що ні

Кредитні ринки Fluid, сейфи та ліквідність DEX ніколи не входили до сфери дії цих ключів. Витягнуті контракти були лише розподілювачами нагород. 0xfluid у X підтвердив, що основні смарт-контракти протоколу залишилися незмінними, і кошти користувачів не були під загрозою через інцидент.

Вкрадені FLUID і GHO були обміняні приблизно на 103 ефіри через маршрутизатор обміну MetaMask. Близько 142,6 ETH опинилися у Tornado Cash, маршрутизуючись частково через реле-гаманці і частково через прямий депозит. Доходи з Base і Arbitrum у Layer 2 були повернені до Ethereum перед змішуванням.

Велике зняття між $70 і $110 мільйонів з Fluid у наступні дні не було другим зломом. Це були депозити, що виводили власні кошти, — банківський паніка, викликана довірою. Не пов’язане безпосередньо з крадіжкою, хоча й не зовсім безпосередньо з часом розкриття.

Очищення та що не було сказано

Близько десяти годин після першої крадіжки, 28 травня о 07:05 за UTC, команда Fluid видалила скомпрометовані ролі пропонувальника і затверджувача з десяти розподілювачів нагород у одній пакетній транзакції. Близько 314 000 FLUID і 7 400 USDC залишків нагород були переведені на безпечну адресу.

Публічні повідомлення команди описували лише паузу у претензіях на нагороди для оновлень. Жодних згадок про компрометацію ключів. Жодних згадок про втрату. Сам злом став публічним 31 травня, через чотири дні після події, коли один кредитор уже зняв $77 мільйонів у USDC, починаючи з 28 травня.

Пабло Вейрат, співзасновник Merkl, прокоментував цей випадок у X. Говорячи про дизайн його протоколу, Вейрат зазначив, що Merkl запускає три незалежних боти для розв’язання спорів на повністю окремій інфраструктурі, кожен з яких перевіряє нові дерева Merkle перед тим, як корінь стане дійсним, з мінімальною затримкою у одну годину між публікацією нового кореня і будь-якими претензіями щодо нього.

Чому таймлок тут змінює все

Весь злом тривав менше 24 секунд від пропозиції до претензії. Така швидкість була можливою лише тому, що між затвердженням кореня і виплатою не існувало затримки. Зломи адміністративних ключів траплялися в DeFi цього року, і модель знову зводилася до однієї й тієї ж прогалини: привілейовані ключі без перешкод між доступом і дією.

Оцінка BlackHart вказала на операційну безпеку як найслабше місце у попередній оцінці Fluid перед зломом. Точний режим несправності — два ключі, які можна використати для виплати без незалежного наглядача або періоду очікування, — вже був тим, на що попереджала оцінка. Компрометація операційних ключів не новина для 2026 року, але випадок Fluid додає особливий нюанс: двоключовий дизайн здавалося, був запобіжником, поки його не тримала одна особа.

Гаманець зловмисника, 0x4925120c…1d3dfb, здійснив претензії по всіх ланцюгах приблизно в один і той самий момент. Відсутність обмежень швидкості не обмежувала кількість, яку можна було випустити за один цикл. Реальні сповіщення про аномальну активність з’явилися лише через кілька годин.